身份鑒權的方法及裝置制造方法

身份鑒權的方法及裝置制造方法
【專利摘要】本發明公開了一種身份鑒權的方法及裝置，涉及互聯網【技術領域】，能夠解決互聯網應用中個人賬戶無法得到切實保護的問題。本發明涉及的方法包括：獲取用戶的特征數據；根據所述特征數據分析所述用戶的賬號安全狀態；查找與所述賬號安全狀態對應的操作權限；執行所述賬號安全狀態對應的操作權限。本發明主要應用于賬號安全性檢測的過程中。
【專利說明】身份鑒權的方法及裝置

【技術領域】
[0001] 本發明涉及互聯網【技術領域】，尤其涉及一種身份鑒權的方法及裝置。

【背景技術】
[0002] 目前，社交網站（SocialNetworkingServices,簡稱SNS)以及眾多應用都需要用 戶注冊個人賬戶。個人賬戶中的數據大多涉及用戶的私人信息，這些私人信息不宜泄露給 他人。為保證個人賬戶的安全性，在登錄個人賬戶時通常需要用戶輸入用戶名以及密碼，網 絡側站點通過一系列算法對用戶輸入的密碼進行鑒權，從而實現對用戶的身份鑒權。
[0003] 然而密碼鑒權僅僅是用戶身份鑒權的一關，鑒權成功并不能代表用戶的個人賬戶 絕對安全。例如，黑客通過非法手段在網頁頁面中嵌入了備份程序，當用戶在登錄頁面中輸 入用戶名和密碼時，黑客可以通過備份程序竊取到用戶名和密碼，然后通過竊取到的用戶 名和密碼登錄用戶的個人賬戶。也就是說，即使密碼或密碼鑒權算法再過復雜，也存在個人 賬戶被盜的可能，個人賬戶的安全性無法得到絕對的保障。
[0004] 隨著互聯網社交化的不斷發展，出于提高用戶間粘連性的考慮，社交網站會向用 戶提供豐富多彩的互動應用，例如開心農場等網頁游戲。這些應用通常涉及經驗值、電子貨 幣、裝備等虛擬財產，如果用戶的個人賬戶被盜，則用戶個人的虛擬財產也存在被盜用、交 易的風險。目前，全球越來越多的國家開始認可包括比特幣（Bitcoin，即電子貨幣）在內的 虛擬財產的法律地位，虛擬財產作為互聯網用戶人身財產的一部分，如何與用戶的私人信 息一起得到可靠的保護，是當前互聯網應用中亟待解決的一個問題。


【發明內容】

[0005] 本發明實施例提供一種身份鑒權的方法及裝置，能夠解決互聯網應用中個人賬戶 無法得到切實保護的問題。
[0006] -方面，本發明實施例提供了一種身份鑒權的方法，包括：
[0007] 獲取用戶的特征數據；
[0008] 根據所述特征數據分析所述用戶的賬號安全狀態；
[0009] 查找與所述賬號安全狀態對應的操作權限；
[0010] 執行所述賬號安全狀態對應的操作權限。
[0011] 另一方面，本發明實施例還提供了一種身份鑒權的裝置，包括：
[0012] 數據獲取單元，用于獲取用戶的特征數據；
[0013] 狀態分析單元，用于根據所述數據獲取單元獲取的所述特征數據分析所述用戶的 賬號安全狀態；
[0014] 權限查找單元，用于查找與所述狀態分析單元分析的所述賬號安全狀態對應的操 作權限；
[0015] 權限執行單元，用于執行所述權限查找單元查找的所述賬號安全狀態對應的操作 權限。
[0016] 本發明實施例提供的身份鑒權的方法及裝置，能夠獲取用戶進行網絡操作時的特 征數據，根據獲取的特征數據分析，用戶操作行為習慣的可靠性，由此得出用戶的賬號安全 狀態，然后查找并執行與賬號安全狀態對應的操作權限。對于可靠性較高的用戶，賬號的安 全性較高，可以賦予用戶較高的操作權限，而對于可靠性較低的用戶，則賬號的安全性也較 低，需要賦予用戶較低的操作權限甚至取消該用戶的操作權限，以防他人盜用合法用戶賬 號的情況的發生，由此實現用戶賬號的安全性管理。由于用戶的特征數據由每個用戶的特 定行為習慣所決定，而每一個用戶的行為習慣又不盡相同，因此與人類的指紋或虹膜類似， 特征數據具有較強的唯一性和不可復制性，與現有技術中的登錄密碼相比，他人幾乎無法 模仿或盜取其他用戶的特征數據，因而能夠實現對互聯網應用中個人賬戶的切實保護。

【專利附圖】

【附圖說明】
[0017] 為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以 根據這些附圖獲得其他的附圖。
[0018] 圖1為本發明實施例中第一個身份鑒權的方法的流程圖；
[0019] 圖2為本發明實施例中第二個身份鑒權的方法的流程圖；
[0020] 圖3為本發明實施例中特征數據與賬號安全狀態之間映射關系的示意圖；
[0021] 圖4為本發明實施例中人工神經網絡的架構示意圖；
[0022] 圖5為本發明實施例中三種綜合特征數據模型的示意圖；
[0023] 圖6為本發明實施例中站點選取的特征數據模型的示意圖；
[0024] 圖7為本發明實施例中第一個身份鑒權的裝置的結構示意圖；
[0025] 圖8為本發明實施例中第二個身份鑒權的裝置的結構示意圖；
[0026] 圖9為本發明實施例中第三個身份鑒權的裝置的結構示意圖；
[0027] 圖10為本發明實施例中第四個身份鑒權的裝置的結構示意圖。

【具體實施方式】
[0028] 下面將結合本實施例中的附圖，對本實施例中的技術方案進行清楚、完整地描述， 顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的 實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都 屬于本發明保護的范圍。
[0029] 為使用戶賬號的安全得到切實保護，本實施例提供了一種身份鑒權的方法，用以 通過用戶特征數據鑒權的方式對用戶操作權限進行授權，從而使他人無法用戶的賬號進行 非法操作。如圖1所示，所述方法包括：
[0030] 101、獲取用戶的特征數據。
[0031] 網絡側站點(后續簡稱為站點）對用戶進行操作時產生的特征數據進行獲取，所述 操作包括用戶對電子設備的操作或者對互聯網網頁的操作，所述特征數據用于描述用戶上 網的行為習慣，例如賬號登錄時間、使用電子設備的設備標識、用戶的賬號等級等，本實施 例對此不做窮盡列舉。
[0032] 站點獲取特征數據的時機可以是在用戶登錄賬號之前，對用戶觸發的一般操作進 行獲取，也可以在用戶登錄賬號時(或之后一段時間內）對用戶觸發的涉及賬號的操作進行 獲取，本實施例對獲取特征數據的時機不做限制。
[0033] 102、根據特征數據分析用戶的賬號安全狀態。
[0034] 站點根據分析策略選擇一種或多種特征數據進行組合計算賬號安全狀態分值，根 據賬號安全狀態分值得出相應的賬號安全狀態。本實施例中，賬號安全狀態可以是"安全" 與"不安全"兩種對立結果，也可以是多個不同程度的狀態等級，例如"1級狀態"、"2級狀 態"、"3級狀態"、"4級狀態"等，其中可以預設"1級狀態"最為安全，"4級狀態"最不安全。
[0035] 站點可以通過劃分分值段的方式將賬號安全狀態分值與賬號安全狀態進行關聯。 例如，分值高于80分的賬號對應安全狀態"安全"，分值低于60分的賬號對應安全狀態"不 安全";或者，將滿分100分劃分為10個分值段，每一個分值段對應一級安全狀態，由此得到 十級安全狀態等，本實施例對賬號安全狀態的劃分規則以及賬號安全狀態分值與賬號安全 狀態的對應算法僅為事例性說明，不作為對實際應用的限制。
[0036] 103、查找與賬號安全狀態對應的操作權限。
[0037] 站點中可以預設有賬號安全狀態與操作權限關聯的映射關系表，站點在獲得賬號 安全狀態(級別）后，根據該映射關系表自動查找對應的操作權限。
[0038] 本實施例中，所述操作權限包括但不限于"完全權限"、"完全無權限"，也可以包括 "部分權限"，例如"訪客權限"、"允許操作權限"、"信息發布權限"或者"信息修改權限"。
[0039] 104、執行賬號安全狀態對應的操作權限。
[0040] 當用戶登錄賬號后站點根據執行的操作權限限制用戶的操作行為，例如禁止登錄 賬號、或者允許登錄賬號等。
[0041] 現有技術中對用戶賬號進行保護的方式主要是通過密碼鑒權驗證用戶的個人身 份，如果密碼鑒權成功則用戶可以登錄賬號，如果密碼鑒權失敗則用戶無法登錄賬號。這 種身份鑒權的方式雖然能夠保證密碼的唯一性，但是無法保證驗證依據與用戶本人的粘合 性。他人可以通過推斷或技術手段獲得用戶的密碼，例如推斷密碼為用戶生日，或通過備份 程序盜取用戶密碼等，這種情況下驗證依據與用戶本人實際脫離。
[0042] 本實施例中，站點可以根據用戶的操作行為提取用戶的特征數據，將特征數據作 為判斷賬號安全狀態以及授權操作權限的依據。例如，某賬號的實際用戶通常在下午7點 通過IP地址為a的電子設備登錄賬號進行游戲，如果某一天站點檢測到該用戶在上午10 點通過IP地址為b的電子設備登錄賬號，并且較多次數的輸入密碼，則站點判斷該賬號存 在被盜號風險，因此降低用戶的操作權限，僅允許用戶進行瀏覽，以防他人盜用用戶賬號修 改其個人信息。由于用戶的特征數據與用戶個人的使用習慣密切相關，他人幾乎無法效仿 或竊取，因此以用戶的特征數據作為身份鑒權的依據，可以避免現有技術中驗證依據與用 戶本人實際脫離的問題，真正實現對用戶本人的身份鑒權，由此可以切實提高個人賬戶的 安全性。
[0043] 作為對圖1所示實施例的詳細說明及進一步擴展，本實施例還提供了一種身份鑒 權的方法，如圖2所示，所述方法包括：
[0044] 201、獲取用戶操作事件的行為特征數據以及賬號的歷史特征數據。
[0045] 用于用戶身份鑒權的數據包括動態數據和靜態數據兩部分，其中所謂動態數據即 為用戶操作事件的行為特征數據，所謂靜態數據即為賬號的歷史特征數據。
[0046] 行為特征數據是用戶對某一事件進行操作時實際產生的操作數據，具有較強的時 效性。例如用戶打開瀏覽器，通過某檢索網頁進入賬號登錄網頁，手動輸入用戶名和密碼； 再例如用戶進入某門戶網站，瀏覽某項主題圖片，然后播放視頻等。在本實施例中，站點獲 取用戶在網絡側頁面或本地客戶端上的操作事件所產生的各種行為特征數據，這些行為特 征數據包括下述至少一種特征數據：
[0047] 用戶/設備標識（IDentity，簡稱ID)、操作時間、網間協議（InternetProtocol, 簡稱IP)地址、站點來源或者具體操作行為。
[0048] 其中，用戶/設備標識可以為用戶所使用的硬件設備的設備標識，也可以為運營 商為用戶分配的物理標識；操作時間包括兩個部分，第一為用戶進行事件操作的起始/終 止時間，該時間為一個時刻值，第二為用戶進行事件操作的持續時間，該時間為一段時長； IP地址作為用戶網絡路徑的標識，不同設備連接互聯網所使用的IP地址通常各不相同， 站點可以通過IP地址識別用戶的聯網路徑；站點來源用于標識用戶通過何種方式鏈接到 該站點，例如通過搜索網頁鏈接到賬號登錄網頁，或者通過瀏覽器中存儲的網頁地址直接 鏈接到賬號登錄網頁；所述操作行為具體是指用戶在網頁或客戶端上執行的一系列操作動 作，例如啟動播放器、瀏覽網頁、點擊超鏈接等，本實施例中站點通過記錄用戶操作軌跡的 方式記錄用戶的操作行為。通常，多種行為特征數據的組合可以反映出用戶上網的行為習 慣，例如用戶早上10點使用設備標識為1的手機登錄個人賬號瀏覽新聞并進行網頁游戲。
[0049] 歷史特征數據用于反映個人賬號使用頻度或用戶真實度的特征數據，該部分數據 由用戶歷次事件操作的結果積累而成，但與某次事件操作的關聯程度較低，因此被稱為靜 態數據。站點獲取的歷史特征數據包括下述至少一種特征數據：賬號等級、賬號關聯業務的 屬性信息、歷史賬號安全狀態、好友數量或者信息發布頻率/數量。
[0050] 其中，賬號關聯業務指該賬號適用的各種應用例如網頁游戲，賬號關聯業務的屬 性信息是指與該賬號關聯的應用屬性信息，例如對于網頁游戲而言，屬性信息可以為用戶 的裝備、虛擬貨幣數量等；歷史賬號安全狀態為歷次身份鑒權過程中得到的安全狀態結果。
[0051] 站點通過靜態數據和動態數據對用戶賬號的安全狀態進行分析。
[0052] 202、根據行為特征數據和歷史特征數據分析用戶的賬號安全狀態。
[0053] 網管人員可以預先建立特征數據（或特征數據組合）與賬號安全狀態之間的關聯 關系，站點根據該關聯關系獲得用戶的賬號安全狀態。例如如圖3所示，作為動態數據的行 為特征數據為：
[0054]

【權利要求】
1. 一種身份鑒權的方法，其特征在于，包括： 獲取用戶的特征數據； 根據所述特征數據分析所述用戶的賬號安全狀態； 查找與所述賬號安全狀態對應的操作權限； 執行所述賬號安全狀態對應的操作權限。
2. 根據權利要求1所述的身份鑒權的方法，其特征在于，所述獲取用戶的特征數據的 步驟，包括： 獲取所述用戶操作事件的行為特征數據以及所述賬號的歷史特征數據。
3. 根據權利要求2所述的身份鑒權的方法，其特征在于，所述獲取所述用戶操作事件 的行為特征數據的步驟，包括： 獲取所述用戶在網絡側頁面或本地客戶端上的操作事件所產生的各種行為特征數據， 所述行為特征數據包括下述至少一種特征數據： 用戶/設備標識（ID)、操作時間、網間協議（IP)地址、站點來源或者具體操作行為； 所述獲取所述賬號的歷史特征數據的步驟，包括： 獲取反映所述賬號使用頻度或用戶真實度的歷史特征數據，所述歷史特征數據包括下 述至少一種特征數據： 賬號等級、賬號關聯業務的屬性信息、歷史賬號安全狀態、好友數量或者信息發布頻率 /數量。
4. 根據權利要求2所述的身份鑒權的方法，其特征在于，所述根據所述特征數據分析 所述用戶的賬號安全狀態的步驟，包括： 從預設的行為特征數據模型集合中選取一個預設的行為特征數據模型； 提取對應所述行為特征數據模型的至少一種行為特征數據； 根據所述至少一種行為特征數據以及對應每一行為特征數據的第一權重值，計算得出 第一子安全狀態； 從預設的歷史特征數據模型集合中選取一個預設的歷史特征數據模型； 提取對應所述歷史特征數據模型的至少一種歷史特征數據； 根據所述至少一種歷史特征數據以及對應每一歷史特征數據的第二權重值，計算得出 第二子安全狀態； 根據所述第一子安全狀態以及所述第二子安全狀態綜合計算得出所述賬號安全狀態。
5. 根據權利要求1所述的身份鑒權的方法，其特征在于，所述查找與所述賬號安全狀 態對應的操作權限的步驟，包括： 根據所述賬號安全狀態以及預設的映射關系表，查找對應所述賬號安全狀態的操作權 限，其中，所述映射關系表用于表征不同賬號安全狀態與不同操作權限之間的對應關系； 所述操作權限包括：完全權限、完全無權限、訪客權限、允許操作權限、信息發布權限或 者信息修改權限。
6. 根據權利要求1所述的身份鑒權的方法，其特征在于，在所述獲取用戶的特征數據 的步驟之前，所述方法進一步包括： 建立特征數據模型集合，所述特征數據模型集合中包含多個根據不同數量特征數據的 不同排列組合結果得到的特征數據模型； 為所述特征數據模型中的每一個特征數據預設權重值。
7. 根據權利要求6所述的身份鑒權的方法，其特征在于，所述方法進一步包括： 接收審計反饋結果，所述審計反饋結果用于評價所述賬號安全狀態的準確性； 根據所述審計反饋結果調整所述特征數據模型中特征數據的種類和/或特征數據的 權重值。
8. -種身份鑒權的裝置，其特征在于，包括： 數據獲取單元，用于獲取用戶的特征數據； 狀態分析單元，用于根據所述數據獲取單元獲取的所述特征數據分析所述用戶的賬號 安全狀態； 權限查找單元，用于查找與所述狀態分析單元分析的所述賬號安全狀態對應的操作權 限； 權限執行單元，用于執行所述權限查找單元查找的所述賬號安全狀態對應的操作權 限。
9. 根據權利要求8所述的身份鑒權的裝置，其特征在于，所述數據獲取單元包括：第一 數據獲取子單元和第二數據獲取子單元； 所述第一數據獲取子單元，用于獲取所述用戶操作事件的行為特征數據； 所述第二數據獲取子單元，用于獲取所述賬號的歷史特征數據。
10. 根據權利要求9所述的身份鑒權的裝置，其特征在于，所述第一數據獲取子單元 用于獲取所述用戶在網絡側頁面或本地客戶端上的操作事件所產生的各種行為特征數據， 所述行為特征數據包括下述至少一種特征數據：用戶/設備標識（ID)、操作時間、網間協議 (IP)地址、站點來源或者具體操作行為； 所述第二數據獲取子單元用于獲取反映所述賬號使用頻度或用戶真實度的歷史特征 數據，所述歷史特征數據包括下述至少一種特征數據：賬號等級、賬號關聯業務的屬性信 息、歷史賬號安全狀態、好友數量或者信息發布頻率/數量。
11. 根據權利要求9所述的身份鑒權的裝置，其特征在于，所述狀態分析單元包括：第 一計算子單元、第二計算子單元以及綜合計算子單元； 所述第一計算子單元，用于從預設的行為特征數據模型集合中選取一個預設的行為特 征數據模型，提取對應所述行為特征數據模型的至少一種行為特征數據，根據所述至少一 種行為特征數據以及對應每一行為特征數據的第一權重值，計算得出第一子安全狀態； 所述第二計算子單元，用于從預設的歷史特征數據模型集合中選取一個預設的歷史特 征數據模型，提取對應所述歷史特征數據模型的至少一種歷史特征數據，根據所述至少一 種歷史特征數據以及對應每一歷史特征數據的第二權重值，計算得出第二子安全狀態； 所述綜合計算子單元，用于根據所述第一計算子單元計算的所述第一子安全狀態以及 所述第二計算子單元計算的所述第二子安全狀態綜合計算得出所述賬號安全狀態。
12. 根據權利要求8所述的身份鑒權的裝置，其特征在于，所述權限查找單元用于根據 所述賬號安全狀態以及預設的映射關系表，查找對應所述賬號安全狀態的操作權限，其中， 所述映射關系表用于表征不同賬號安全狀態與不同操作權限之間的對應關系，所述操作權 限包括：完全權限、完全無權限、訪客權限、允許操作權限、信息發布權限或者信息修改權 限。
13. 根據權利要求8所述的身份鑒權的裝置，其特征在于，所述裝置還包括： 模型建立單元，用于在所述數據獲取單元獲取用戶的特征數據之前，建立特征數據模 型集合，為所述特征數據模型中的每一個特征數據預設權重值，所述特征數據模型集合中 包含多個根據不同數量特征數據的不同排列組合結果得到的特征數據模型。
14. 根據權利要求13所述的身份鑒權的裝置，其特征在于，所述裝置還包括： 反饋接收單元，用于接收審計反饋結果，所述審計反饋結果用于評價所述賬號安全狀 態的準確性； 模型調整單元，根據所述反饋接收單元接收的所述審計反饋結果調整所述特征數據模 型中特征數據的種類和/或特征數據的權重值。
【文檔編號】H04L29/06GK104426884SQ201310395457
【公開日】2015年3月18日 申請日期:2013年9月3日 優先權日:2013年9月3日
【發明者】喻欣, 郭計偉, 王小葉, 胡育輝 申請人:深圳市騰訊計算機系統有限公司